Respeitamos sua privacidade. Esta política explica, com transparência, quais dados coletamos, com que finalidade, com quem compartilhamos, por quanto tempo retemos e como você exerce seus direitos.
Versão: 2.1 · Vigência: 11 de maio de 2026 · Histórico: ver versões anteriores
Atualização v2.1: ajuste na Seção 5 — explicitação do modelo não-custodial (DripHub não retém valores); inclusão de finalidade da API DripOS.
Resumo: Tratamos seus dados nos limites da LGPD, com finalidades específicas e bases legais claras. Você é dono dos seus dados. Pode acessá-los, corrigi-los, exportá-los e excluí-los a qualquer momento. Não vendemos dados pessoais. Compartilhamos apenas com subprocessadores listados nominalmente abaixo, sob contratos rigorosos. Notificamos incidentes em até 24h ao titular e à ANPD conforme exigido.
A DRIPCORP ECOSYSTEM DESENVOLVIMENTO E LICENCIAMENTO DE PROGRAMAS LTDA, inscrita no CNPJ sob n.º 66.059.208/0001-94, com sede na Rua Pais Leme, 215, Conj. 1713, Pinheiros, São Paulo/SP, CEP 05424-150 (doravante "DripHub"), é a responsável pelo tratamento dos dados pessoais descritos nesta Política, na qualidade de Controladora ou de Operadora, conforme detalhado na Seção 2.
Encarregado pelo Tratamento de Dados Pessoais (DPO):
Nomeação: profissional designado conforme art. 41 da LGPD
E-mail: dpo@driphub.com.br
Canal de denúncias e exercício de direitos: dpo@driphub.com.br (assunto: "LGPD")
Prazo de resposta: até 15 (quinze) dias corridos
A operação da DripHub envolve duas relações distintas no plano da LGPD. Esta separação é essencial para que você saiba a quem dirigir cada solicitação.
A DripHub é Controladora dos dados pessoais que coleta diretamente do Produtor (pessoa física ou pessoa de contato da pessoa jurídica) durante o cadastro, uso da Plataforma, atendimento e operações financeiras. Estes dados são tratados conforme finalidades descritas nesta Política.
Quando o Produtor utiliza a Plataforma para vender produtos a seus Compradores e armazenar dados destes (CPF, nome, e-mail, telefone, endereço, histórico de compras):
Implicação prática para o Comprador: para acesso, correção, exclusão ou portabilidade dos seus dados de comprador, dirija-se primeiramente ao Produtor. Caso o Produtor não responda em prazo razoável, a DripHub atuará subsidiariamente como operadora cooperante.
A DripHub é Controladora dos dados de navegação, telemetria, logs técnicos, dados de segurança e dados agregados/anonimizados coletados em sua infraestrutura própria, inclusive em páginas de checkout hospedadas para o Produtor.
Coletamos apenas o que é necessário para operar a plataforma com segurança e qualidade. As categorias são:
O que não armazenamos: dados completos de cartão de crédito (PAN). Esses dados trafegam diretamente para o Gateway certificado PCI-DSS. Armazenamos apenas tokens, bandeira, últimos 4 dígitos e dados não-sensíveis para reconciliação.
Detalhamento completo: Política de Cookies. Em síntese:
Não coletamos dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa/política, dados de saúde ou vida sexual, dados genéticos ou biométricos), conforme definidos no art. 5º, II da LGPD. Caso o Produtor pretenda tratar tais dados em sua operação, deve obter base legal própria e nos comunicar para avaliação de adequação.
Nosso aplicativo móvel (iOS / Android) pode solicitar as seguintes permissões. Todas são informadas no momento da instalação ou primeiro uso, e podem ser revogadas a qualquer momento nas configurações do dispositivo:
| Permissão / Dado | Finalidade | Opcional? |
|---|---|---|
| Notificações push | Avisar sobre vendas, mensagens, chargebacks, alertas operacionais | Sim |
| Câmera | Escanear QR Code de login, escanear documentos para KYC, foto de perfil | Sim |
| Biblioteca de fotos | Upload de imagens de produto e de perfil | Sim |
| Identificador único de dispositivo | Segurança da sessão, prevenção de fraude e device fingerprinting | Não (essencial) |
| Endereço IP | Segurança, logs de auditoria, geolocalização aproximada | Não (essencial) |
| Telemetria de uso do app | Métricas agregadas para melhoria do produto | Sim (pode desativar nas configurações do app) |
O que o app NÃO coleta: dados de saúde, contatos da agenda, histórico de navegação fora do app, áudio/vídeo em background, localização precisa via GPS, dados de outros aplicativos.
Cada tratamento de dados tem finalidade específica e base legal correspondente. Quando há mais de uma base legal possível, indicamos a que melhor se aplica.
| Finalidade | Categoria de Dado | Base Legal (LGPD) |
|---|---|---|
| Criar e manter conta de Produtor | Cadastro | Execução de contrato (art. 7º, V) |
| Intermediação técnica de checkout e comunicação ao Gateway do Produtor (sem custódia de valores) | Cadastro + dados da transação (não-financeiros) | Execução de contrato (V) |
| Faturamento da taxa de plataforma ao Produtor | Cadastro + volume agregado de vendas | Execução de contrato (V) + Obrigação legal (II — emissão de NFS-e) |
| Emissão de NF, controles fiscais | Cadastro + valores faturados pela DripHub | Cumprimento de obrigação legal (II) |
| Processamento de dados de Compradores (em nome do Produtor) | Comprador (operadora) | Execução de contrato (V) — instrução do Produtor |
| Prevenção a fraudes e abuso da Plataforma | Uso, dispositivo, transação | Legítimo interesse (IX) — vide LIA Seção 6 |
| KYC do Produtor, atendimento a autoridades | Cadastro + KYC do Produtor | Cumprimento de obrigação legal (II) + Regulação setorial |
| Provisão e controle da API DripOS | Cadastro + tokens + logs de uso | Execução de contrato (V) + Legítimo interesse (IX) — anti-abuso |
| Comunicações operacionais (e-mail/push) | Cadastro | Execução de contrato (V) |
| Comunicações comerciais (marketing direto) | Cadastro + perfil | Consentimento (I) — opt-in, revogável |
| Atendimento via Super Agente IA | Comunicação + uso | Execução de contrato (V) + Legítimo interesse (IX) |
| Análise, métricas e melhoria do produto | Uso + dispositivo (anonim.) | Legítimo interesse (IX) — anonimização sempre que possível |
| Cookies analíticos e de marketing | Navegação | Consentimento (I) — opt-in granular |
| Defesa em processo judicial, administrativo ou arbitral | Todos | Exercício regular de direitos (VI) |
Quando utilizamos a base legal "legítimo interesse" (art. 7º, IX da LGPD), realizamos prévio teste de proporcionalidade (Legitimate Interest Assessment — LIA) considerando: (i) finalidade legítima, específica e explícita; (ii) necessidade do tratamento; (iii) expectativa razoável do titular; (iv) ausência de prevalência dos direitos e liberdades fundamentais do titular.
Casos de aplicação:
Direito de oposição: você pode se opor ao tratamento com base em legítimo interesse a qualquer momento, contatando dpo@driphub.com.br. Analisaremos a solicitação caso a caso e responderemos em 15 dias.
Algumas operações da Plataforma envolvem decisões totalmente ou parcialmente automatizadas:
Seus direitos quanto a decisões automatizadas:
A DripHub não vende, aluga ou comercializa dados pessoais. Compartilhamos apenas com subprocessadores estritamente necessários ao funcionamento do serviço, sob contratos com cláusulas LGPD e medidas de segurança equivalentes às nossas.
Lista nominal e finalidades:
| Subprocessador | Categoria | Finalidade | Dados | Localidade |
|---|---|---|---|---|
| Pagar.me, Mercado Pago, Efí, Hypercash, Pushin Pay | Gateway de pagamento | Processar transações financeiras | Nome, CPF, e-mail, valor, dados não-sensíveis de cartão | Brasil |
| Amazon Web Services (AWS) | Infraestrutura em nuvem | Hospedagem, processamento, backup | Todos (criptografados em trânsito e repouso) | Brasil (sa-east-1) + EUA (replicação backup) |
| Hetzner Online | Infraestrutura em nuvem | Servidores de aplicação | Todos (criptografados em trânsito e repouso) | Alemanha |
| Hostinger | Hospedagem complementar | Hospedagem do checkout e landing | Dados de navegação e transação | Brasil + EUA |
| Amazon SES, SendGrid | E-mail transacional | Envio de e-mails de confirmação, recuperação, notificação | E-mail, nome, conteúdo da mensagem | EUA + Irlanda |
| Meta Platforms (WhatsApp Cloud API) | Mensageria | Envio de mensagens via WhatsApp | Telefone, nome, conteúdo da mensagem | EUA + Irlanda |
| Meta (Pixel, CAPI) | Analytics e ads | Mensuração de conversão (em páginas de checkout configuradas pelo Produtor) | Dados hashed (SHA-256), eventos de conversão | EUA + Irlanda |
| Google (Analytics, Tag Manager, Ads) | Analytics e ads | Mensuração de tráfego e conversão | Dados agregados/anonimizados, eventos | EUA + UE |
| Google (Gemini API) | IA generativa | Geração de respostas do Super Agente IA | Prompts, histórico de conversa, instruções | EUA |
| TikTok (Pixel) | Analytics e ads | Mensuração de conversão (quando configurado pelo Produtor) | Dados hashed, eventos | EUA + Singapura |
| Cloudflare | CDN, WAF, anti-DDoS | Aceleração e segurança da entrega de conteúdo | IP, navegação, logs | Rede global |
| Sentry / monitoramento | Observabilidade | Detecção e diagnóstico de falhas | Logs técnicos, stack traces (anonimizados) | EUA + UE |
Compartilhamento com autoridades: ordem judicial, administrativa ou requisição obrigatória por lei (ex.: Receita Federal, COAF, Procon, ANPD, Polícia Civil, Ministério Público), nos estritos termos legais.
Compartilhamento em reorganização societária: em hipóteses de fusão, aquisição, cisão ou venda de ativos, observado o dever de informação aos titulares.
Conforme a tabela da Seção 8, alguns subprocessadores processam dados fora do Brasil. A LGPD (arts. 33 a 36) admite transferência internacional quando:
Garantias adotadas pela DripHub:
| Subprocessador | País | Garantia |
|---|---|---|
| AWS | EUA | AWS Data Processing Addendum + Cláusulas Contratuais Padrão ANPD/UE |
| Google (Gemini, Analytics, Ads) | EUA + UE | Google Cloud DPA + Model Contract Clauses + Data Privacy Framework EU-US |
| Meta (WhatsApp, Pixel, CAPI) | EUA + Irlanda | Meta Data Processing Addendum + Cláusulas-Padrão |
| Hetzner | Alemanha | Localização em país com nível adequado (RGPD) |
| Hostinger | Brasil + EUA | DPA específico + Cláusulas-Padrão |
| SendGrid / Twilio | EUA | Twilio DPA + Cláusulas-Padrão |
| Cloudflare | Global | Cloudflare DPA + Cláusulas-Padrão |
Cópia das cláusulas e adendos pode ser solicitada por escrito ao DPO.
Adotamos medidas técnicas e organizacionais proporcionais aos riscos:
Nenhum sistema é 100% imune a ataques. Em caso de incidente de segurança que possa acarretar risco ou dano relevante ao titular, observamos os procedimentos da Seção 15.
Mantemos os dados apenas pelo tempo necessário à finalidade original ou conforme exigência legal:
| Categoria | Prazo | Fundamento |
|---|---|---|
| Cadastro do Produtor | Durante a vigência da conta + 5 anos | Art. 27 CDC + obrigações fiscais |
| Dados fiscais e de transação | 5 anos após a transação | Legislação tributária (Lei 8.137/90, Decreto 3.000/99) |
| Logs de acesso a aplicações | 6 meses | Marco Civil da Internet — art. 15 |
| Logs de segurança/auditoria | 2 anos | Defesa em incidentes; legítimo interesse |
| Mensagens de suporte | 2 anos após encerramento do ticket | Continuidade do atendimento + defesa |
| Mensagens via Super Agente IA | 2 anos | Operação do serviço + melhoria |
| Dados de marketing (consentimento) | Até a revogação do consentimento | Art. 8º, § 5º LGPD |
| Cookies analíticos/marketing | Conforme tabela da Política de Cookies | Consentimento |
| Documentos de KYC/PLD | 5 anos após encerramento da relação | Resolução COAF 36/2021, art. 13 |
| Dados de Comprador (Operadora) | Conforme instrução do Produtor (Controlador) — mínimo legal observado | DPA + legislação aplicável |
Findos os prazos, os dados são eliminados ou anonimizados (técnica que impede a reidentificação) de forma irreversível.
Você tem, gratuitamente e a qualquer momento, os seguintes direitos:
Envie e-mail para dpo@driphub.com.br com o assunto "Solicitação LGPD — [seu direito]", contendo:
Responderemos em até 15 (quinze) dias corridos, contados do recebimento. Poderemos solicitar documentos adicionais para confirmar identidade (proteção contra solicitações fraudulentas).
A eliminação não se aplica a dados cuja retenção é exigida por lei (fiscais, KYC/PLD, prevenção de fraude, defesa em processos), nos respectivos prazos legais.
A Plataforma é destinada exclusivamente a usuários com 18 (dezoito) anos ou mais e plena capacidade civil. Não coletamos intencionalmente dados pessoais de menores de 18 anos.
O cadastro exige declaração ativa de maioridade. A constatação posterior de cadastro de menor implica:
Em caráter excepcional, se o tratamento de dados de menor for inevitável (ex.: o Comprador, em uma compra do Produtor, for menor adolescente em produto a ele dirigido), aplicam-se as regras do art. 14 da LGPD: consentimento específico e em destaque dado por pelo menos um dos pais ou responsáveis legais, salvo as hipóteses de exceção legalmente previstas. O Produtor, como Controlador, é responsável por obter e documentar tal consentimento.
Identificou cadastro de menor? Denuncie em dpo@driphub.com.br.
Detalhamento completo em Política de Cookies. A DripHub implementa banner de consentimento granular com 4 categorias (Essenciais — sempre on; Funcionais, Analíticos e Marketing — opt-in), painel de preferências acessível a qualquer momento, e lista nominal de terceiros, em conformidade com o Guia Orientativo da ANPD sobre Cookies (out/2023, atualizado 2024).
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a DripHub:
Encarregado pelo Tratamento de Dados Pessoais (DPO):
E-mail: dpo@driphub.com.br
Assunto sugerido: "LGPD — [tema]"
Endereço para correspondência: Rua Pais Leme, 215, Conj. 1713, Pinheiros, São Paulo/SP, CEP 05424-150 — A/C: Encarregado de Dados
Autoridade Nacional de Proteção de Dados (ANPD):
Você também pode registrar reclamação diretamente à ANPD.
Esta Política poderá ser atualizada periodicamente. Alterações materiais serão comunicadas com antecedência mínima de 15 (quinze) dias por e-mail ou notificação no painel, e a versão vigente sempre estará publicada nesta URL com data e número de versão no topo. Versões anteriores ficam disponíveis em /landing/legal/historico-versoes.html para fins probatórios.
Versão: 2.1 · Vigência: 11 de maio de 2026
Substitui: Política de Privacidade versão 2.0 (mesmo dia) e versão 1.0 (22/04/2026)
Changelog v2.1: ajuste na tabela de finalidades — modelo não-custodial e API DripOS.
Hash do documento (SHA-256): a ser computado na publicação
